Zenn
📝

AWS マネジメントコンソールへのサインイン後にアカウント ID を表示しないようにする方法

2022/09/19に公開
AWS
idea

今回は、AWS マネジメントコンソールへのサインイン後にアカウント ID を表示しないようにする方法を紹介します。

結論

  1. エイリアスを利用する

  2. AWS Extend Switch Roles を利用する

背景

AWS マネジメントコンソールへサインインすると、右上に「ユーザー名 + アカウント ID」という形式で、サインインしたユーザー名とアカウント ID が表示されます。
しかし、コンソールを画面共有する際に、第三者にはアカウント ID を見せたくない場合があると思います。

実際に AWS re:Post でも同様の質問がありました。
Hide Account number from top right of the screen | AWS re:Post

上記のようなケースが考えられると思いますが、アカウント ID を表示しないようにする方法の記事が以外にも見つからなかったので、今回紹介することにしました。

アカウント ID は機密情報なのか

多くのサイトではスクリーンショットでアカウント ID をマスクしています。
また、AWS 公式のハンズオンなどの動画でも、アカウント ID をマスクしていることがあります。

私自身もアカウント ID は機密情報であるという認識なので、本サイトでの投稿でもマスクしていますが、AWS 公式ドキュメントには、「アカウント ID は機密情報でない」ことが明記されています。

アカウント ID の表示 - AWS アカウント管理

アカウント ID は、他の識別情報と同様に慎重に使用および共有する必要がありますが、秘密、機密、または機密情報とは見なされません。

アカウント ID の漏洩について調べてみると、アカウント ID が分かるだけでも攻撃者のターゲットになる可能性もあるという記事もありました。

Unit 42、AWS IAMの偵察で漏えいした情報を特定するオープンソースツールIAMFinderを公開

そのため、現時点で個人的にはアカウント ID は容易に公開してよい情報ではないと思っています。

前置きが長くなりましたが、冒頭で紹介した方法について以下に記載していきます。

1. エイリアスを利用する

こちらの方法は、AWS 公式ドキュメントに記載されている方法です。

AWS アカウント ID とそのエイリアス - AWS Identity and Access Management

サインインページの URL に AWS アカウント ID の代わりに自社名 (または他のわかりやすい識別子) を含める場合は、アカウントのエイリアスを作成できます。

12 桁のアカウント ID を分かりやすく識別するための任意の名前がエイリアスといったところです。

実際の表示について確認してみます。
まずはエイリアスを使用せず、アカウント ID を使用してサインインした場合です。

上記の通り、アカウント ID でサインインした場合には、コンソールの右上にユーザー名とアカウント ID が表示されます。

続いて、エイリアスでサインインした場合です。

エイリアスでサインインすると、アカウント ID の部分がエイリアスに変わります。

スイッチロール時の挙動

  • エイリアスを設定したアカウントへのスイッチロールでは、「ロール名 @ エイリアス名」になる
  • エイリアスを設定していないアカウントへのスイッチロールでは、「ロール名 @ スイッチ先のアカウント ID」になる

AWS Extend Switch Roles を利用する

こちらは Google Chrome の拡張機能を利用する方法です。

AWS Extend Switch Roles - Chrome ウェブストア

AWS Extend Switch Roles では、以下のように AWS CLI と同じような設定を記載します。

[Master]
aws_account_id = 123456789012
role_name = Master_Role
color = 001eff

[Study]
aws_account_id = 210987654321
role_name = Study_Role
color = 00bfff

さらに、Setting の「Hide account id」にチェックを付けます。
これでコンソールの右上にはアカウント ID が表示されなくなります。

上記の設定後、拡張機能を利用してスイッチロールをします。

上記のように、設定のプロファイル名 ([Master] や [Study]) に記載した名前がコンソールに表示されます。
この方法であれば、スイッチロール先のアカウントでエイリアスの設定をする必要がない分、少し楽になるかもしれません。

ただし、Chrome の拡張機能なので、ブラウザが限定されてしまうという点についてはご注意ください。

まとめ

今回は、AWS マネジメントコンソールへのサインイン後にアカウント ID を表示しないようにする方法を紹介しました。

どなたかの参考になれば幸いです。

参考資料

Discussion

ログインするとコメントできます